随着网络技术的飞速发展，我们的生活，学习，工作和娱乐与网络联系得越来越紧密。我们充分享受网络带给我们的方便的同时，各种各样的病毒，木马等恶意软件也在网络上大肆流行。这些恶意软件破坏我们的电子数据，盗取我们的个人信息，控制我们的个人电脑，最终导致我们个人财产的损失。我们需要详细研究各种恶意软件技术，来保护我们的个人财产和信息。文章对严重威胁网络与信息安全的技术——内核级Rootkit进行了详细的研究。　　 Rootkit是攻击者在入侵系统后用来躲避各种安全软件的监控，长期隐藏在系统中监控用户行为，窃取用户信息的技术。Rootkit区别于其他恶意软件最大的特点是隐藏，是长期无法被检测的隐藏于系统中。Rootkit不但可以隐藏自己，还可以隐藏其他恶意软件。　　 目前Rootkit技术最新的发展方向是与病毒，木马等恶意软件结合。Rootkit隐藏这些恶意软件的行为来躲避各种安全软件的监控，这些恶意软件负责发动攻击，窃取用户信息等等。Rootkit和其他的恶意软件的结合，导致了以前可以被杀毒软件通过特征码扫描轻易发现的病毒，木马等恶意软件，现在却无法被发现。因为Rootkit已经隐藏了恶意软件的文件，进程，注册表等等信息，杀毒软件连恶意软件的文件的找不到，就无法扫描了，更不可能清除它们。　　 本文对Rootkit检测技术和系统修复技术进行了详细的研究，主要的工作包括如下：　　 首先，概述了Rootkit的研究背景，研究内容，研究现状，论文的组织结构，Rootkit的定义，分类，与其他的恶意软件的区别和它的危害。　　 其次，详细研究了Rootkit使用的各种技术。针对Rootkit使用的技术，详细研究了Rootkit的检测技术和系统修复技术。　　 再次，详细分析当前使用得比较多的Rootkit检测工具“IceSword和RootkitUnhooker”的检测技术。IceSword检测进程采用ExEnumHandleTable函数获得进程列表，Rootkit通过挂钩ExEnumHandleTable函数，绕过IceSword的进程检测。针对该问题本文提出了不使用ExEnumHandleTable函数获取进程列表的方法。Rootkit Unhooker检测内联钩子存在误检的问题，如果盲目使用修复功能，将导致系统崩溃。本文提出使用调试器实际观察汇编代码来解决这个问题。　　 然后，本文在系统分析中断描述符表的基础上，提出通过备份真实中断描述符表的方法检测和修复中断描述符表。该方法可以阻止Rootkit挂钩中断描述符表，获得系统内核的控制权。　　 接着，提出修复驱动程序的I/O请求报文处理程序钩子的方法。本文首先通过反汇编fat32文件系统的驱动程序fastfat.sys获得特征码，然后利用特征码在硬盘上的fastfat.sys文件中查找I/O请求报文处理程序的地址，最后通过这个地址计算出I/O请求报文处理程序在内存中的真实地址。该方法可以阻止Rootkit隐藏文件，目录，通讯端口和通讯流量等等。　　 最后，提出Rootkit检测和系统修复的总体思想。　　 本文对Windows Rootkit的检测技术和系统修复技术进行了分析和总结，针对其中的存在的问题进行改进，获得的研究成果弥补了现有Windows Rootkit的检测技术和系统修复技术的不足。